Eu tenho uma configuração de confiança entre duas florestas do Active Directory do Windows 2008. Meus domínios são "local.ad" e "remote.ad". Todos os meus usuários corporativos pertencem à floresta remote.ad.
Eu tenho que adicionar a função "Identity Management for Unix" (IMU) a um dos servidores do AD para permitir kerberos auth logins no Linux. O admin de remote.ad não pode adicionar IMU em remote.ad devido a insert_excuse_here .
É possível adicionar IMU ao meu servidor, local.ad, criar um "clone" de [email protected], adicionar a função de autenticação Unix, mas de alguma forma dizer ao local.ad que a senha do usuário está realmente em remote.ad?
O que eu estou sonhando é gerenciar os grupos Unix e os usuários de local.ad, mas ter autenticação realmente proxy / delegado para remote.ad.
Como se verifica A Microsoft preteriu a função IMU Server no Server 2012! Acabei indo com Autenticação de passagem em um servidor OpenLDAP baseado em Linux para passar as credenciais do usuário de volta ao AD. Os atributos Posix são então mantidos no OpenLDAP, negando qualquer dependência no AD.